proton ransomware Предположительно Proton / Shinra

[safety]

Судя по логу Cureit более ничего не нашел.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-11-08 02:55 - 2025-11-13 19:41 - 000000039 _____ C:\Windows\directx.sys
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Проверьте возможность загрузить систему в нормальный режим.

[Arakki]

Теперь не получается открыть FRST. При запуске от имени админа происходит долгая загрузка, затем окно о завершении обновления и готовности программы к использованию. После выходит окно выбора того, через какое приложение запустить FRST. После клика мышкой по любому месту - все закрывается, а моторное открытие FRST невозможно. Только если скачать его снова

Изменено 14 ноября пользователем Arakki

[safety]

Вполне возможно что FRST у вас был заражен, когда вы запускали его в зараженной системе, поэтому лучше заново его скачать.

[Arakki]

7 минут назад, safety сказал:

Вполне возможно что FRST у вас был заражен, когда вы запускали его в зараженной системе, поэтому лучше заново его скачать.

Я в безопасном режиме его и запускал. И устанавливал заново. Может попробовать аналоговое приложение?

 

Только что попробовал сделать скан в обычном режиме. Нашлись 10 файлов Neshta, из выбора : пропустить/вылечить выбрал вылечить. Все 10 файлов вылечить не удалось. Сканировал с помощью CureIt 

Изменено 14 ноября пользователем Arakki

[safety]

логи сканирования Cureit покажите, в архиве без пароля.

Изменено 14 ноября пользователем safety

[Arakki]

Скан CureIt2.zip

[safety]

Total 10 files are infected
Total 10 files are raised error condition

---------------

Всего заражено 10 файлов.
Всего 10 файлов вызвали ошибку.

------------------

Да, почему то браузеры у вас не пролечились из под KRD.

Пробуйте на чистой машине скачать KVRT, и перенести на данную систему, и пролечить еще раз через KVRT, Отчеты о сканировании добввить в ваше сообщение.

[Arakki]

Скачал с чистой машины, перенес на зараженный ПК. Отчет в архиве

report_2025.11.14_20.13.34.klr.zip

[safety]

Изначально так и надо делать, если работаете с с системами, зараженными файловыми вирусами.

Все скачивания программ, все сборки загрузочных дисков выполняются только на чистой системе, и лишь потом переносятся на зараженную систему. Повторно программы не используем. Снова скачиваем чистые. Пока не убедитесь, что файловых вирусов нет в проблемной системе.

 

Судя по логу KVRT обнаружений нет.

[Arakki]

Хорошо, подскажите, что необходимо делать дальше?

[safety]

Для дополнительного анализа проверьте ЛС.

 

C расшифровкой файлов не сможем помочь по данному типу шифровальщика.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 16 ноября пользователем safety